Oracle Java sérülékenységek


2013. június 19. 11:31

CH azonosító

CH-9443

Angol cím

Oracle Java Multiple Vulnerabilities

Felfedezés dátuma

2013.06.18.

Súlyosság

Magas

Érintett rendszerek

Java JDK
Java JRE
Oracle

Érintett verziók

Oracle Java JDK 1.5.x / 5.x
Oracle Java JDK 1.7.x / 7.x
Oracle Java JRE 1.7.x / 7.x
Sun Java JDK 1.6.x / 6.x
Sun Java JRE 1.5.x / 5.x
Sun Java JRE 1.6.x / 6.x

Összefoglaló

Az Oracle Java olyan sérülékenységei váltak ismertté, amelyeket kihasználva a rosszindulatú, helyi felhasználók bizalmas információkat és emelt szintű jogosultságot szerezhetnek, illetve a támadók hamisításos (spoofing) támadásokat hajthatnak végre, bizalmas információkat szerezhetnek meg, módosíthatnak bizonyos adatokat, szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő, és feltörhetik a sérülékeny rendszert.

Leírás

  1. A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  2. A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  3. A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  4. A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  5. A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  6. A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  7. A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  8. A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  9. A kliens telepítés AWT komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  10. A kliens telepítés Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  11. A kliens telepítés Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  12. A kliens telepítés AWT komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  13. A kliens telepítés Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  14. A kliens telepítés Serviceability komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  15. A kliens telepítés Serviceability komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  16. A kliens telepítés Serviceability komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  17. A kliens telepítés Serviceability komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel tetszőleges kódot lehet végrehajtani.
  18. A kliens és szerver telepítés Libraries komponensének egy nem részletezett hibáját kihasználva tetszőleges kódot lehet végrehajtani.
  19. A kliens és szerver telepítés Install komponensének egy nem részletezett hibáját kihasználva a helyi felhasználók emelt szintű jogosultságokat szerezhetnek.
  20. A kliens és szerver telepítés Libraries komponensének egy nem részletezett hibáját kihasználva bizalmas információkat lehet szerezni, illetve szolgáltatás megtagadást előidézni.
  21. A kliens telepítés JDBC komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni, illetve módosítani egyes adatokat.
  22. A kliens telepítés Libraries komponensének egy nem részletezett hibáját kihasználva bizalmas információkat lehet szerezni, illetve módosítani egyes adatokat.
  23. A kliens telepítés AWT komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel szolgáltatás megtagadást lehet előidézni.
  24. A kliens telepítés CORBA komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel szolgáltatás megtagadást lehet előidézni.
  25. A kliens telepítés Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
  26. A kliens telepítés Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel módosítani lehet egyes adatokat.
  27. A kliens telepítés Deployment komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel módosítani lehet egyes adatokat.
  28. A kliens és szerver telepítés JMX komponensének egy nem részletezett hibáját kihasználva módosítani lehet egyes adatokat.
  29. A kliens és szerver telepítés JMX komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel módosítani lehet egyes adatokat.
  30. A kliens telepítés Libraries komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
  31. A kliens telepítés Libraries komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
  32. A kliens telepítés Libraries komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
  33. A kliens telepítés Networking komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
  34. A kliens telepítés Serialization komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel szolgáltatás lehet előidézni.
  35. A kliens telepítés Serialization komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
  36. A kliens telepítés Serviceability komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
  37. A kliens telepítés Libraries komponensének egy nem részletezett hibáját kihasználva nem megbízható Java Web Start alkalmazással és nem megbízható Java appletekkel bizalmas információkat lehet szerezni.
  38. A Javadoc tool-lal generált dokumentumoknak URL-en keresztül átadott bizonyos bemeneti adatok nem megfelelően vannak megtisztítva mielőtt frame-ekben adatok megjelenítésére felhasználásra kerülnének. Ezt kihasználva tetszőleges tartalmat lehet megjeleníteni a felhasználó számára, ha az rákattint egy speciálisan elkészített hivatkozásra.
  39. A kliens és szerver telepítés Networking komponensének egy nem részletezett hibáját kihasználva emelt szintű jogosultságokat lehet szerezni.
  40. A kliens telepítés 2D komponensének egy nem részletezett hibáját kihasználva a helyi felhasználók bizalmas információkat szerezhetnek, illetve módosíthatnak egyes adatokat.

A sérülékenységek a következő termékekben találhatók:

* JDK and JRE 7 Update 21 és korábbi verziók
* JDK and JRE 6 Update 45 és korábbi verziók
* JDK and JRE 5 Update 45 és korábbi verziók

Megoldás

Telepítse a javítócsomagokat

Támadás típusa

Input manipulation (Bemenet módosítás)
Unspecified (Nem részletezett)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.oracle.com
Gyártói referencia: www.oracle.com
SECUNIA 53846
CVE-2013-1500 - NVD CVE-2013-1500
CVE-2013-1571 - NVD CVE-2013-1571
CVE-2013-2400 - NVD CVE-2013-2400
CVE-2013-2407 - NVD CVE-2013-2407
CVE-2013-2412 - NVD CVE-2013-2412
CVE-2013-2437 - NVD CVE-2013-2437
CVE-2013-2442 - NVD CVE-2013-2442
CVE-2013-2443 - NVD CVE-2013-2443
CVE-2013-2444 - NVD CVE-2013-2444
CVE-2013-2445 - NVD CVE-2013-2445
CVE-2013-2446 - NVD CVE-2013-2446
CVE-2013-2447 - NVD CVE-2013-2447
CVE-2013-2448 - NVD CVE-2013-2448
CVE-2013-2449 - NVD CVE-2013-2449
CVE-2013-2450 - NVD CVE-2013-2450
CVE-2013-2451 - NVD CVE-2013-2451
CVE-2013-2452 - NVD CVE-2013-2452
CVE-2013-2453 - NVD CVE-2013-2453
CVE-2013-2454 - NVD CVE-2013-2454
CVE-2013-2455 - NVD CVE-2013-2455
CVE-2013-2456 - NVD CVE-2013-2456
CVE-2013-2457 - NVD CVE-2013-2457
CVE-2013-2458 - NVD CVE-2013-2458
CVE-2013-2459 - NVD CVE-2013-2459
CVE-2013-2460 - NVD CVE-2013-2460
CVE-2013-2461 - NVD CVE-2013-2461
CVE-2013-2462 - NVD CVE-2013-2462
CVE-2013-2463 - NVD CVE-2013-2463
CVE-2013-2464 - NVD CVE-2013-2464
CVE-2013-2465 - NVD CVE-2013-2465
CVE-2013-2466 - NVD CVE-2013-2466
CVE-2013-2467 - NVD CVE-2013-2467
CVE-2013-2468 - NVD CVE-2013-2468
CVE-2013-2469 - NVD CVE-2013-2469
CVE-2013-2470 - NVD CVE-2013-2470
CVE-2013-2471 - NVD CVE-2013-2471
CVE-2013-2472 - NVD CVE-2013-2472
CVE-2013-2473 - NVD CVE-2013-2473
CVE-2013-3743 - NVD CVE-2013-3743
CVE-2013-3744 - NVD CVE-2013-3744

Legfrissebb sérülékenységek
CVE-2024-31857 – WordPress Forminator plugin sérülékenysége
CVE-2024-31077 – WordPress Forminator plugin sérülékenysége
CVE-2024-28890 – WordPress Forminator plugin sérülékenysége
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
CVE-2024-1874 – PHP sérülékenysége
CVE-2024-24576 – Rust sérülékenysége
CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége
Tovább a sérülékenységekhez »